Close Show Menu Search

Persónuvernd

Skilmálar persónuupplýsinga

Almenn persónuverndarreglugerð

Þann 25. maí 2018 mun nýr reglurammi, kallaður Almenna persónuverndarreglugerðin (General Data Protection Regulation, „reglugerðin“) taka gildi á evrópska efnahagssvæðinu (EES) sem nær einnig yfir Evrópusambandið (ESB).  Markmið reglugerðarinnar er að samræma gagnaverndarlöggjafir á EES/ESB-svæðinu og hún mun taka gildi þann 25. maí 2018.

Reglugerðin fellir í gildi ýmsar nýjar reglur og skyldur sem eiga að auka vernd persónulegra gagna og bæta rétt einstaklinga til persónuverndar.  Þessar nýju reglur krefjast frekari skyldna hvað varðar úrvinnslu gagnavinnsluaðila á persónulegum gögnum fyrir hönd ábyrgðaraðila. 

Verifone skuldbindur sig til að vernda persónuleg gögn og mun vinna náið með viðskiptavinum sínum til að framfylgja reglugerðinni.   Sem hluta af skuldbindingu okkar birtum við gagnavinnsluviðbót Verifone við reglugerðina (GDPR Data Processing Addendum, „viðbótin“), þar sem má finna viðbótarskyldurnar tengdar gagnavinnslu.  Markmið okkar er að tryggja að að allir undirritaðir Samningar við viðskiptavini okkar innleiði nýju skuldbindingar reglugerðarinnar fyrir 15. júlí 2018, þegar reglugerðin mun taka gildi á Íslandi.

Frekari upplýsingar um hvernig skal framkvæma þessa viðbót er að finna á næstu síðu.

Auk ofangreinds vinnur Verifone að því að uppfæra innri ferla og fyrirkomulag til að geta uppfyllt kröfur reglugerðarinnar.  Við munum birta uppfærslur og frekari upplýsingar á vefsíðu okkar um lagamál & persónuvernd.

Vinsamlegast hafðu samband við söluaðila Verifone ef einhverjar spurningar vakna.  Einnig geturðu haf samband við gagnaverndarfulltrúa Verifone með því að senda tölvupóst til:  privacy@verifone.com.

 

HVERNIG Á AÐ FRAMFYLGJA ÞESSARI VIÐBÓT

Þessi Gagnavinnsluviðbót Verifone við reglugerðina hefur verið undirrituð fyrirfram fyrir hönd Verifone á Íslandi. Til að ljúka við þessa Viðbót verður Viðskiptavinurinn að:

  • Undirrita og fylla út rétta auða reiti á undirritunarsvæðinu
  • Senda skjalið undirritað til Verifone með rafrænni undirskrift.

Þegar Verifone móttekur rétt útfyllta og undirritaða Viðbótina mun þessi Gagnavinnsluviðbót við reglugerðina verða lagalega bindandi.  Hafi Viðskiptavinur ekki undirritað og skilað þessari viðbót þann 15. júlí 2018 eða fyrr og haldi hann áfram að þiggja þjónustu og vörur frá Verifone, telst það sem samþykki á gagnavinnsluviðbótinni og Samningunum ásamt viðaukum.   

 

VERIFONE

GAGNAVINNSLUVIÐBÓT VIÐ ALMENNA PERSÓNUVERNDARREGLUGERÐ

Þessi gagnavinnsluviðbót við reglugerðina („Viðbót“) tekur gildi þann 15. júlí 2018 og verður felld inn í samninga sem gerðir hafa verið á milli

  1. Verifone á Íslandi („Verifone“) og
  2. aðilans sem undirritar hér fyrir neðan fyrir sína hönd og sem fulltrúi fyrir hvert Hlutdeildarfélaga sinna sem eru aðilar að Samningi („Viðskiptavinur“).

Viðbótin er viðauki við Samningana og lýsir þeim hlutverkum og skuldbindingum sem eiga við þegar Verifone vinnur úr Persónulegum gögnum, sem falla innan gildissviðs reglugerðarinnar, fyrir hönd Viðskiptavinarins við veitingu Lausnarinnar samkvæmt Samningunum.

      1. Skilgreiningar
        1. Eftirfarandi skilgreiningar eiga við í þessari viðbót:
            1. „Hlutdeildarfélag“ þýðir fyrirtæki sem stýrir, er stýrt af eða er undir sameiginlegri stjórn annars hvors aðilanna sem gera með sér þessa viðbót, óháð því hvort slíkt fyrirtæki falli undir þessa skilgreiningu við dagsetningu undirritunar þessarar viðbótar eða eftir það.
            2. „Samningur“ þýðir Verifone ráðningarsamningur (Master Hire) eða Verifone þjónustusamningur (Purchase and Managed Services) og allir aðrir skriflegir eða rafrænir samningar á milli Verifone og Viðskiptavinar sem setja fram skilmála í tengslum við veitingu og notkun á Lausninni.
            3.  „EES“ þýðir evrópska efnahagssvæðið.
            4. „Reglugerðin“ þýðir reglugerð Evrópuþingsins og -ráðsins númer 2016/679 um vernd einstaklinga hvað varðar úrvinnslu á persónulegum gögnum og flutning á slíkum gögnum, sem fellir úr gildi tilskipun 95/46/EB.
            5. „Lausn“ þýðir Verifone vélbúnaður, hugbúnaður og þjónusta sem vísað er til í samningi.
            6. Hugtökin „Ábyrgðaraðili“, „Gagnavinnsluaðili“, „Persónuleg gögn“, „Gagnavinnsla“, „Sérstakir gagnaflokkar“ og „Skráður aðili“ hafa þá skilgreiningu sem þeim er gefin í reglugerðinni.
        2. Öll hugtök skrifuð með hástaf og sem ekki eru skilgreind í þessari viðbót hafa sömu merkingu og er sett fram í samningnum
      2. Gildissvið Viðbótarinnar
        1. Gildissvið Viðbót þessi mun gilda frá 25. maí 2018 að því marki að Verifone vinnur úr Persónulegum gögnum sem falla innan gildissviðs reglugerðarinnar, fyrir hönd Viðskiptavinarins við veitingu Lausnarinnar.
      3. Hlutverk og ábyrgðir
        1. Hlutverk aðila Á milli Verifone og Viðskiptavinar, þá er Viðskiptavinur Ábyrgðaraðili Persónulegu gagnanna sem eru veitt til Verifone til úrvinnslu samkvæmt Samningnum og Verifone skal vinna úr Persónulegu gögnunum sem Gagnavinnsluaðili fyrir hönd Viðskiptavinarins. 
        2. Lýsing á úrvinnslu. Finna má lýsingu á eðli og tilgangi úrvinnslunnar, gerðum Persónulegra gagna, flokkum Skráðra aðila og tímalengd úrvinnslunnar hér lengra fyrir neðan.
  • Eðli og tilgangur úrvinnslunnar: Öll úrvinnsla á persónulegum gögnum sem er viðeigandi eða nauðsynleg svo að Verifone geti veitt Lausnina samkvæmt Samningnum, Pöntunareyðublaði, starfsyfirlýsingu eða eins og aðilar hafa sammælst um á annan hátt.
  • Gerð(ir) Persónulegra gagna sem unnið er úr:  Verifone mun vinna úr gögnum um kortaviðskipti fyrir hönd Viðskiptavinarins, fyrir Lausnina sem samþykkt hefur verið.  Háð því hvaða þjónusta er veitt og frekari leiðbeiningum frá Viðskiptavini, gætu þessi gögn verið auðkenningargögn greiðenda (nafn, tölvupóstur), greiðsluupplýsingar greiðanda (kreditkortanúmer, gildistími, CVV-númer), netupplýsingar (UID, IP-tölur) og svipuð gögn sem tengjast beint úrvinnslu á persónulegum gögnum fyrir hönd Viðskiptavinarins.
  • Flokkar Skráðra aðila:  Persónulegu gögnin sem unnið er úr geta verið meðal annars, en takmarkast ekki við, eftirfarandi flokkar Skráðra aðila:  Endanotendur og neytendur Viðskiptavinar (t.d. kortaeigandi, greiðandi), starfsfólk, umboðsmenn, ráðgjafar, þjónustuveitendur og söluaðilar Viðskiptavinar; og viðskiptavinir, mögulegir framtíðarviðskiptavinir og viðskiptafélagar Viðskiptavinar.

 

  • Tímalengd úrvinnslu:   Unnið verður úr Persónulegu gögnunum yfir gildistíma Samningsins, nema aðilar semji um annað eða viðeigandi lög krefjist annars. 
      1. Úrvinnsla Persónulegra gagna
        1. Úrvinnsla Verifone á Persónulegum gögnum. Verifone skal vinna úr Persónulegu gögnunum í samræmi við lögmætar, skráðar leiðbeiningar Viðskiptavinarins og aðeins í þeim tilgangi sem lýst er í Samningnum, þessari Viðbót, Pöntunarblaði, vinnuyfirlýsingu eða eins og báðir aðilar hafa samþykkt, nema viðeigandi lög krefjist annars.
        2. Öryggi. Verifone skal gera viðeigandi tæknilegar og skipulagstengdar ráðstafanir til að koma í veg fyrir að persónulegu gögnunum sé eytt, týnt, breytt, þau birt í óleyfi eða óleyfilegur aðgangur fenginn að þeim („Öryggistilvik“), hvort sem það gerist fyrir slysni eða með ólöglegum aðferðum.
        3. Trúnaðarskyldur. Verifone skal tryggja að allt starfsfólk sem fær aðgang að Persónulegu gögnunum til að vinna úr þeim sé bundið trúnaðarskyldu.
        4. Öryggistilvik. Ef Verifone fær vitneskju af því að Öryggistilvik hafi átt sér stað, sem hefur áhrif á Persónulegu gögnin sem unnið er úr fyrir hönd Viðskiptavinarins, skal Verifone láta Viðskiptavininn tafarlaust vita og sýna viðeigandi samstarfsvilja eftir því sem Viðskiptavinurinn krefst til að uppfylla allar kröfur um tilkynningaskyldu vegna öryggisbrota samkvæmt Reglugerðinni.  Verifone skal einnig gera viðeigandi ráðstafanir eða aðgerðir til að bæta úr eða draga úr áhrifum Öryggistilviksins og skal veita Viðskiptavininum allar upplýsingar varðandi framvindu málsins í tengslum við Öryggistilvikið. 
        5. Ráðning undirverktaka. Viðskipavinurinn samþykkir að Verifone megi ráða undirverktaka fyrir gagnavinnslu úr hópi hlutdeildarfélaga Verifone og utanaðkomandi undirverktaka („Undirverktakar“) til að vinna úr Persónulegum gögnum fyrir hönd Verifone. Þrátt fyrir samþykki Viðskiptavinarins á Undirverktökum, verður Verifone að tilkynna Viðskiptavininum með hæfilegum fyrirvara um ráðningu á öllum nýjum undirverktökum og ef Viðskiptavinurinn mótmælir þeirri ráðningu innan fimmtán (15) dagatalsdaga frá slíkri tilkynningu á sanngjörnum forsendum tengdum gagnavernd, þá skal Verifone annað hvort falla frá ráðningu Undirverktakans til að vinna úr Persónulegu gögnunum sem falla undir Samninginn, eða ræða ágreininginn við Viðskiptavininn í góðri trú í því augnamiði að ná fram lausn á ágreiningnum. Ef ekki er hægt að ná fram lausn samkvæmt ferlum Samningsins um úrlausn ágreinings (ef við á), getur Viðskiptavinurinn frestað eða sagt upp þeim úrvinnsluaðgerðum sem málið hefur áhrif á (án þess að það hafi áhrif á nokkur gjöld sem hljótast af viðskiptavininum áður en frestunin eða uppsögnin átti sér stað).
        6. Skilmálar undirverktaka. Þrátt fyrir ákvæðin í grein 4.5 hér fyrir ofan, skal Verifone undirrita samning við alla Undirverktaka þar sem þess er krafist að þeir verndi Persónulegu gögnin sem falla undir þessa viðbót samkvæmt þeim stöðlum sem viðeigandi gagnaverndarlög krefjast. Verifone er ábyrgt fyrir öllum brotum á þessari viðbót af hálfu Undirverktaka að sama leyti og það er ábyrgt samkvæmt Samningnum.
        7. Alþjóðlegar færslur. Verifone má ekki vinna úr (eða valda úrvinnslu á) neinum Persónulegum gögnum sem eru upprunnin frá EES í landi sem Evrópuráðið hefur ekki úrskurðað að bjóði upp á viðunandi gagnavernd, nema það hafi gert nauðsynlegar ráðstafanir til að tryggja að slíkar færslur hlíti ákvæðum Reglugerðarinnar, nema viðeigandi lög krefjist annars. Viðskiptavinurinn veitir leyfi fyrir færslum á Persónulegum gögnum til Hlutdeildarfélaga Verifone sem eru staðsett í slíkum löndum utan EES, háð því að viðeigandi öryggisráðstafanir hafi verið gerðar.
        8. Réttindi Skráðra aðila. Verifone skal veita Viðskiptavininum sanngjarna aðstoð, eftir því sem hægt er, svo að Viðskiptavinurinn geti svarað fyrirspurnum frá skráðum aðilum sem leitast eftir því að nýta sér rétt sinn samkvæmt Reglugerðinni. Ef slík fyrirspurn er send beint til Verifone, skal Verifone láta Viðskiptavininn vita af því tafarlaust.
        9. Mat á áhrifum gagnaverndar. Með tilliti til eðlis úrvinnslunnar og upplýsinganna sem Verifone hefur aðgang að, skal Verifone veita Viðskiptavininum sanngjarna aðstoð við greiðslu á hæfilegum kostnaði Viðskiptavinarins við að uppfylla skuldbindingu Viðskiptavinarins til að framkvæma mat á áhrifum gagnaverndar og fyrri samráð við eftirlitsstofnanir samkvæmt kröfum Reglugerðarinnar.
        10. Öryggisskýrslur og upplýsingaveiting. Verifone skal halda viðeigandi skrár sem staðfesta að það hlíti ákvæðunum sem sett eru fram í þessari Viðbót. Viðskiptavinurinn staðfestir að sjálfstæðir, utanaðkomandi eftirlitsaðilar geri reglulega úttekt á Verifone samkvæmt PCI-DSS stöðlum og að Verifone skuli veita Viðskiptavininum afrit af nýjustu staðfestingu sinni á reglufylgni (AOC), að móttekinni beiðni. Þar að auki skal Verifone veita Viðskiptavininum skrifleg svör eða skjöl (með hæfilegu millibili og í fyllsta trúnaði) við sanngjörnum beiðnum um nauðsynlegar upplýsingar til að staðfesta að Verifone uppfylli ákvæðin sem sett eru fram í þessari Viðbót. Einnig skal Verifone veita svör við öllum skriflegum úttektarspurningum sem Viðskiptavinurinn sendir þeim, að því gefnu að Viðskiptavinurinn nýti sér þann rétt ekki oftar en einu sinni á ári.
           
      2. Skil/eyðing á gögnum
        1. Skil eða eyðing á Persónulegum gögnum. Þegar gildistími Samningsins rennur út, eða honum er sagt upp, skal Verifone eyða Persónulegu gögnunum (ásamt afritum), eða skila þeim til Viðskiptavinarins, sem Verifone hefur undir höndum í samræmi við ákvæði Samningsins, nema Verifone sé skylt samkvæmt viðeigandi lögum eða PCI-DSS stöðlum að halda eftir hluta af Persónulegu gögnunum eða þeim öllum.
      3. Annað
        1. Samningurinn helst áfram í fullu gildi, fyrir utan þau ákvæði sem breytast með þessari Viðbót.
        2. Allar kröfur sem settar eru fram undir þessari Viðbót skulu hlíta ákvæðum Samningsins, þar á meðal, en takmarkast þó ekki við, undantekningar og takmarkanir á skaðabótaábyrgð sem lýst er í Samningnum.
        3. Ef ósamræmi er á milli þessarar Viðbótar og Samningsins, skal Viðbótin gilda.
        4. Þessi Viðbót verður aðeins lagalega bindandi á milli Viðskiptavinarins og Verifone þegar búið er að ljúka að fullu skrefunum sem lýst er í kaflanum „Hvernig á að framfylgja þessari viðbót“.
           
          Réttmætir undirritunaraðilar beggja aðila hafa fellt þennan samning tilhlýðilega í gildi.
           
          Verifone á Íslandi
          Undirskrift: ____________________________
          Nafn í blokkstöfum:        Guðmundur Jónsson    
          Titill:                                      Framkvæmdastjóri
          Dagsetning:                       15.07.2018
           
          Viðskiptavinur                                                               
          Undirskrift: __________________________                     
          Lögnafn viðskiptavinar: ________________                      
          Nafn í blokkstöfum: _________________________                       
          Titill: _______________________________                     
          Dagsetning _______________________________